BCCode 9fの原因に迫る――Windowsシャットダウン失敗

ここ10ヶ月ぐらいだろうか、偶にWindows 7のシャットダウンに失敗することがある。次回起動時に「Windows は予期しないシャットダウンから回復しました」というダイアログが表示される。「問題の詳細の表示」で詳細情報を見てみると、「問題イベント名 BlueScreen」「BCCode 9f」となっている。

「BCCode 9f」はDRIVER_POWER_STATE_FAILUREを意味する。Windowsカーネルの電源絡みの状態遷移(スタンバイ ・休止への移行や復帰、シャットダウンなど)にデバイスドライバが正しく対応できていない際に発生するようだ*1

乱暴に言ってしまえば「何かのデバイスないしデバイスドライバが悪い!」ということだ。ということなのだが、このダイアログは普通の人にとって何を言っているのか分からない代物なので、単純に「Windowsが悪い!」と結論付けてしまいそうな気がする。

まあ、このダイアログは普通ではない人(プログラマとか)でさえも面食らう代物だからなあ。そもそもBCCodeとかBCP1とか、何の意味か分からない*2

それはさておき、問題は「どのデバイスドライバが原因なのか」である。これはダイアログからは分からない。詳細情報の後ろの方に「この問題の説明に役立つファイル」という項目があり、そのファイルを見る必要がある。

今回は以下の2つだった。

  • C:\Users\fabrico\AppData\Local\Temp\WER-40207557-0.sysdata.xml
  • C:\Windows\Minidump\112614-36395-01.dmp

これらのファイルの名前は環境や問題発生のタイミングによって異なるようだ。私の環境では、WER-40207557-0.sysdata.xmlは毎度同じ名前だが、112614-36395-01.dmpはエラー発生の度に異なる名前になっている*3

さて、試しに解析してみようか。

このファイル、見れないぞっ

はい、いきなりつまづきました。

WER-40207557-0.sysdata.xmlをエディタ等で開こうとすると、ファイルへのアクセスが拒否される。この問題は、このファイルを別のフォルダにコピーして、コピーしたものを開けばよい。

112614-36395-01.dmpについては、そもそもエクスプローラではC:\Windows\Minidumpにアクセスできない。これは、コマンドプロンプトを管理者権限で起動すれば、当該フォルダの中を見れるし、112614-36395-01.dmpにアクセスすることができる。

WER-40207557-0.sysdata.xmlの中身

WER-40207557-0.sysdata.xmlXMLファイルだ。UNICODEに対応したテキストエディタ等で中身を確認できる。

ざっと見た感じ、システムに組み込まれているデバイスドライバのファイル(拡張子sys)の一覧のようだ。

このファイルの内容はそれなりに重要ではあるが、「BCCode 9fの原因を調査する」という観点では、これ単体ではあまり役に立たない。後で112614-36395-01.dmpを解析する際に必要となる……かもしれない。

112614-36395-01.dmpの中身

112614-36395-01.dmpはメモリダンプのファイルだ。バイナリファイルなので、バイナリエディタWindows用のデバッグツールで開くしかない。

112614-36395-01.dmpを解析するツール

112614-36395-01.dmpを解析するにあたり、まとまった解説文書がなくて四苦八苦した。

クラッシュが発生した場合は、Windows によって作成される、最小メモリ ダンプ ファイルを読み取る方法を見たところ、dumpchk.exe・kd.exe・windbg.exeなどを使って解析すればよいらしい。

これらのツールはWindows 7には入っていない。現在ではWDK(Windows Driver Kit)ないしWindows SDKをインストールしないと入手できないようだ。

今回はWDKインストール済みのPCだったので、それに付属するものを使用した。

dumpchk.exeによる解析の試み

dumpchk.exeについてはDumpchk.exe を使用してメモリ ダンプ ファイルをチェックする方法というサポート情報があるが、正直なところコマンドオプションの説明程度の内容で、これだけでは使い方がよく分からない。

ひとまず色々なサイトを参考に、こんな感じで実行してみた。

C:\>C:\WinDDK\7600.16385.1\Debuggers\dumpchk.exe -e C:\Windows\Minidump\112614-36395-01.dmp
Loading dump file C:\Windows\Minidump\112614-36395-01.dmp

Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\Minidump\112614-36395-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`03d6d5a2?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`02d26c32?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`00217462?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff800`00b9a3c0?
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.           *
* Use .symfix to have the debugger choose a symbol path.                   *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506
Machine Name:
Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890
Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00)
System Uptime: 0 days 12:48:36.680
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
.........................................
Loading User Symbols
Loading unloaded module list
................
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_IRP                                       ***
***                                                                   ***
*************************************************************************

(中略)

*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_KPRCB                                     ***
***                                                                   ***
*************************************************************************
Probably caused by : ntoskrnl.exe

Followup: MachineOwner
---------

Finished dump check

C:\>

何やら「シンボルの読み込みに失敗した」みたいなメッセージが頻出している。デバッグ用のシンボルファイルが見つからないようだ。正しく解析できているのか、ちょっと判断できない。

シンボルファイルどこにあるのだろうか? もしかして、インストールする等の準備が必要なのだろうか?

調べてみたところMicrosoft のシンボル サーバーを使用して、デバッグ シンボル ファイルを入手するにはというサポート情報があった。自動的にMicrosoftのサーバからシンボルファイルをダウンロードして使用することが可能らしい。

この情報を元に、ダウンロードしたシンボルファイルの置き場所としてC:\tmp\symを用意した上で、オプションを変更してもう一度dumpchk.exeを実行してみた。

C:\>C:\WinDDK\7600.16385.1\Debuggers\dumpchk.exe -y "symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols" C:\Windows\Minidump\112614-36395-01.dmp
Loading dump file C:\Windows\Minidump\112614-36395-01.dmp

Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\Minidump\112614-36395-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`03d6d5a2?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`02d26c32?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`00217462?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff800`00b9a3c0?
Symbol search path is: symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506
Machine Name:
Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890
Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00)
System Uptime: 0 days 12:48:36.680
Loading Kernel Symbols
...............................................................
................................................................
.........................................
Loading User Symbols
Loading unloaded module list
................
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60}

Unable to load image \SystemRoot\system32\DRIVERS\VBoxNetAdp.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for VBoxNetAdp.sys
*** ERROR: Module load completed but symbols could not be loaded for VBoxNetAdp.sys
Probably caused by : ntkrnlmp

Followup: MachineOwner
---------

----- 64 bit Kernel Mini Dump Analysis

DUMP_HEADER64:
MajorVersion        0000000f
MinorVersion        00001db1
KdSecondaryVersion  00000000
DirectoryTableBase  00000000`00187000
PfnDataBase         fffff800`038fb278
PsLoadedModuleList  fffff800`03891890
PsActiveProcessHead fffff800`03873590
MachineImageType    00008664
NumberProcessors    00000004
BugCheckCode        0000009f
BugCheckParameter1  00000000`00000003
BugCheckParameter2  fffffa80`0c794700
BugCheckParameter3  fffff800`00b9a3d8
BugCheckParameter4  fffffa80`0fe5ed60
KdDebuggerDataBlock fffff800`0383d0a0
ProductType         00000001
SuiteMask           00000110
WriterStatus        00000000
MiniDumpFields      00000cff

TRIAGE_DUMP64:
ServicePackBuild      00000100
SizeOfDump            000ed930
ValidOffset           000ed92c
ContextOffset         00000348
ExceptionOffset       00000f00
MmOffset              00002080
UnloadedDriversOffset 000020d0
PrcbOffset            00002458
ProcessOffset         00007158
ThreadOffset          00007628
CallStackOffset       00007ad0
SizeOfCallStack       000008e8
DriverListOffset      000086f8
DriverCount           000000a9
StringPoolOffset      0000e608
StringPoolSize        000038f8
BrokenDriverOffset    00000000
TriageOptions         ffffffff
TopOfStack            fffff800`00b9a388
BStoreOffset          00000000
SizeOfBStore          00000000
LimitOfBStore         00000000`00000000
DebuggerDataOffset    000083b8
DebuggerDataSize      00000340
DataBlocksOffset      00011f00
DataBlocksCount       000000c0
  fffff800`00b9a3d8 - fffff800`00b9a3f7 at offset 00012b00
  fffff800`038692d8 - fffff800`03869317 at offset 00012b20
  fffff800`03873d30 - fffff800`03873d4f at offset 00012b60
  fffffa80`0e575160 - fffffa80`0e57517f at offset 00012b80
  fffffa80`11e75ce0 - fffffa80`11e75cff at offset 00012ba0
  fffff800`03873680 - fffff800`03873697 at offset 00012bc0
  fffff880`009fab98 - fffff880`009fabaf at offset 00012bd8
  fffff880`009f3b98 - fffff880`009f3baf at offset 00012bf0
  fffff880`09189b98 - fffff880`09189baf at offset 00012c08
  fffff880`0929ab98 - fffff880`0929abaf at offset 00012c20
  fffff880`059feb98 - fffff880`059febaf at offset 00012c38
  fffff880`092e0b98 - fffff880`092e0baf at offset 00012c50
  fffff880`092b6b98 - fffff880`092b6baf at offset 00012c68
  fffff880`091c4b98 - fffff880`091c4baf at offset 00012c80
  fffffa80`0c6f3d90 - fffffa80`0c6f3ddf at offset 00012c98
  fffffa80`0d27d780 - fffffa80`0d27d7b7 at offset 00012ce8
  fffffa80`0c7a1830 - fffffa80`0c7a187f at offset 00012d20
  fffffa80`0c7aa1d0 - fffffa80`0c7aa1f7 at offset 00012d70
  fffff8a0`001df930 - fffff8a0`001df93f at offset 00012d98
  fffffa80`0c770b60 - fffffa80`0c770baf at offset 00012da8
  fffffa80`0c772520 - fffffa80`0c772547 at offset 00012df8
  fffffa80`0c779d90 - fffffa80`0c779ddf at offset 00012e20
  fffffa80`0c732720 - fffffa80`0c73273f at offset 00012e70
  fffffa80`0c794430 - fffffa80`0c79447f at offset 00012e90
  fffffa80`0c7326a0 - fffffa80`0c7326bf at offset 00012ee0
  fffff8a0`000ab6e0 - fffff8a0`000ab6f7 at offset 00012f00
  fffffa80`0d11b060 - fffffa80`0d11b1af at offset 00012f18
  fffffa80`0d11b1b0 - fffffa80`0d11b21f at offset 00013068
  fffffa80`0c6e6cb0 - fffffa80`0c6e6dff at offset 000130d8
  fffffa80`0c6c2010 - fffffa80`0c6c2027 at offset 00013228
  fffffa80`0c732bd0 - fffffa80`0c732d57 at offset 00013240
  fffffa80`0c732d58 - fffffa80`0c732dc7 at offset 000133c8
  fffffa80`0c789290 - fffffa80`0c7893df at offset 00013438
  fffffa80`0c751840 - fffffa80`0c751867 at offset 00013588
  fffffa80`0c6c4040 - fffffa80`0c6c418f at offset 000135b0
  fffffa80`0c6c4190 - fffffa80`0c6c41ff at offset 00013700
  fffffa80`0c770e30 - fffffa80`0c770f8f at offset 00013770
  fffffa80`0c770f90 - fffffa80`0c770fff at offset 000138d0
  fffffa80`0c778e70 - fffffa80`0c778fbf at offset 00013940
  fffffa80`0c732750 - fffffa80`0c732777 at offset 00013a90
  fffffa80`0c732e10 - fffffa80`0c732f87 at offset 00013ab8
  fffffa80`0c732f88 - fffffa80`0c732ff7 at offset 00013c30
  fffffa80`0c778c40 - fffffa80`0c778d9f at offset 00013ca0
  fffffa80`0c778da0 - fffffa80`0c778e0f at offset 00013e00
  fffffa80`0c794700 - fffffa80`0c79485f at offset 00013e70
  fffffa80`0c794860 - fffffa80`0c7948cf at offset 00013fd0
  fffffa80`0eaee050 - fffffa80`0eaef8bf at offset 00014040
  fffff880`0175e9b0 - fffff880`0175eb67 at offset 000158b0
  fffffa80`0e2d6010 - fffffa80`0e2d630f at offset 00015a68
  fffffa80`0d267010 - fffffa80`0d2677bf at offset 00015d68
  fffffa80`0e1c79f0 - fffffa80`0e1c7cef at offset 00016518
  fffffa80`0f2c88d0 - fffffa80`0f2c907f at offset 00016818
  fffffa80`100cb680 - fffffa80`100cb97f at offset 00016fc8
  fffffa80`100de600 - fffffa80`100dedaf at offset 000172c8
  fffffa80`1010a010 - fffffa80`1010a30f at offset 00017a78
  fffffa80`1011c8d0 - fffffa80`1011d07f at offset 00017d78
  fffffa80`1011dad0 - fffffa80`1011ddcf at offset 00018528
  fffffa80`101158d0 - fffffa80`1011607f at offset 00018828
  fffffa80`0e812d60 - fffffa80`0e812f6f at offset 00018fd8
  fffffa80`0d260c80 - fffffa80`0d260ff7 at offset 000191e8
  fffffa80`0e814b60 - fffffa80`0e814d6f at offset 00019560
  fffffa80`0d25da40 - fffffa80`0d25ddb7 at offset 00019770
  fffffa80`0eaf0cd0 - fffffa80`0eaf0ff7 at offset 00019ae8
  fffffa80`0d266ba0 - fffffa80`0d26700f at offset 00019e10
  fffffa80`0e193820 - fffffa80`0e193837 at offset 0001a280
  fffffa80`0e2d6310 - fffffa80`0e2d631f at offset 0001a298
  fffff880`04806390 - fffff880`0480639f at offset 0001a2a8
  fffffa80`0e7ea648 - fffffa80`0e7ea6b7 at offset 0001a2b8
  fffffa80`0c731130 - fffffa80`0c731147 at offset 0001a328
  fffffa80`0e7de060 - fffffa80`0e7de1af at offset 0001a340
  fffffa80`0e7ea4f0 - fffffa80`0e7ea647 at offset 0001a490
  fffffa80`0e7eb5c8 - fffffa80`0e7eb637 at offset 0001a5e8
  fffffa80`0e274bc0 - fffffa80`0e274bf7 at offset 0001a658
  fffffa80`0e26fd20 - fffffa80`0e26fe6f at offset 0001a690
  fffffa80`0e7eb390 - fffffa80`0e7eb5c7 at offset 0001a7e0
  fffffa80`0e876aa0 - fffffa80`0e876b0f at offset 0001aa18
  fffffa80`0e8286d0 - fffffa80`0e8286ef at offset 0001aa88
  fffffa80`0e827590 - fffffa80`0e8276df at offset 0001aaa8
  fffffa80`0e876940 - fffffa80`0e876a9f at offset 0001abf8
  fffff880`036e1500 - fffff880`036e1537 at offset 0001ad58
  fffff880`019886b0 - fffff880`019886b7 at offset 0001ad90
  fffffa80`0e14b010 - fffffa80`0e14b84f at offset 0001ad98
  fffffa80`0c733548 - fffffa80`0c733557 at offset 0001b5d8
  fffff880`01987360 - fffff880`0198739f at offset 0001b5e8
  fffffa80`0f2be010 - fffffa80`0f2be80f at offset 0001b628
  fffffa80`0e18a8a0 - fffffa80`0e18a8b7 at offset 0001be28
  fffffa80`0e1c7cf0 - fffffa80`0e1c7cff at offset 0001be40
  fffffa80`100dedb0 - fffffa80`100df53f at offset 0001be50
  fffffa80`10037a40 - fffffa80`10037a57 at offset 0001c5e0
  fffffa80`100cb980 - fffffa80`100cb98f at offset 0001c5f8
  fffffa80`1011ed90 - fffffa80`1011f58f at offset 0001c608
  fffffa80`100a2c10 - fffffa80`100a2c27 at offset 0001ce08
  fffffa80`1010a310 - fffffa80`1010a31f at offset 0001ce20
  fffffa80`1012e010 - fffffa80`1012e80f at offset 0001ce30
  fffffa80`100e25b0 - fffffa80`100e25c7 at offset 0001d630
  fffffa80`1011ddd0 - fffffa80`1011dddf at offset 0001d648
  fffffa80`0d25d710 - fffffa80`0d25df0f at offset 0001d658
  fffffa80`0e26ec10 - fffffa80`0e26ec27 at offset 0001de58
  fffffa80`0e812fe8 - fffffa80`0e812ff7 at offset 0001de70
  fffffa80`0e812f70 - fffffa80`0e812f9f at offset 0001de80
  fffffa80`0d260b10 - fffffa80`0d260b97 at offset 0001deb0
  fffffa80`0d260b00 - fffffa80`0d260b0f at offset 0001df38
  fffffa80`0d1f5460 - fffffa80`0d1f5c5f at offset 0001df48
  fffffa80`0e6cb840 - fffffa80`0e6cb857 at offset 0001e748
  fffffa80`0e814de4 - fffffa80`0e814df3 at offset 0001e760
  fffffa80`0e814d70 - fffffa80`0e814d97 at offset 0001e770
  fffffa80`0d1f9d00 - fffffa80`0d1f9d7f at offset 0001e798
  fffffa80`0d1f9cf0 - fffffa80`0d1f9cff at offset 0001e818
  00000000`00000000 - ffffffff`ffffffff at offset 0001e828
  00000000`00000000 - ffffffff`ffffffff at offset 0001e828
  fffff8a0`0f150840 - fffff8a0`0f1508ff at offset 0001e828
  fffffa80`0eaf08a0 - fffffa80`0eaf08ef at offset 0001e8e8
  fffffa80`0eaf0890 - fffffa80`0eaf089f at offset 0001e938
  fffffa80`0d25e020 - fffffa80`0d26001f at offset 0001e948
  fffffa80`0eaef8c0 - fffffa80`0eaef92f at offset 00020948
  fffffa80`0eadd670 - fffffa80`0eadd7bf at offset 000209b8
  fffffa80`0eae5820 - fffffa80`0eae5847 at offset 00020b08
  fffffa80`0c74fb50 - fffffa80`0c74fff7 at offset 00020b30
  fffff880`03b9c000 - fffff880`03ba1fff at offset 00020fd8
  fffffa80`0c74f660 - fffffa80`0c74fb07 at offset 00026fd8
  fffff880`03ba3000 - fffff880`03ba8fff at offset 00027480
  fffffa80`0c74e040 - fffffa80`0c74e4e7 at offset 0002d480
  fffff880`03baa000 - fffff880`03baffff at offset 0002d928
  fffffa80`0c74eb50 - fffffa80`0c74eff7 at offset 00033928
  fffff880`03bb1000 - fffff880`03bb6fff at offset 00033dd0
  fffffa80`0c74e660 - fffffa80`0c74eb07 at offset 00039dd0
  fffff880`03bb8000 - fffff880`03bbdfff at offset 0003a278
  fffffa80`0c74d040 - fffffa80`0c74d4e7 at offset 00040278
  fffff880`03bbf000 - fffff880`03bc4fff at offset 00040720
  fffffa80`0c74db50 - fffffa80`0c74dff7 at offset 00046720
  fffff880`03bc6000 - fffff880`03bcbfff at offset 00046bc8
  fffffa80`0c74d660 - fffffa80`0c74db07 at offset 0004cbc8
  fffff880`03bcd000 - fffff880`03bd2fff at offset 0004d070
  fffffa80`0c74c040 - fffffa80`0c74c4e7 at offset 00053070
  fffff880`03bd4000 - fffff880`03bd9fff at offset 00053518
  fffffa80`0c74cb50 - fffffa80`0c74cff7 at offset 00059518
  fffff880`03bdb000 - fffff880`03be0fff at offset 000599c0
  fffffa80`0c74c660 - fffffa80`0c74cb07 at offset 0005f9c0
  fffff880`03be2000 - fffff880`03be7fff at offset 0005fe68
  fffffa80`0c74b040 - fffffa80`0c74b4e7 at offset 00065e68
  fffff880`03be9000 - fffff880`03beefff at offset 00066310
  fffffa80`0c74bb50 - fffffa80`0c74bff7 at offset 0006c310
  fffff880`03bf0000 - fffff880`03bf5fff at offset 0006c7b8
  fffffa80`0c74b660 - fffffa80`0c74bb07 at offset 000727b8
  fffff880`03bf7000 - fffff880`03bfcfff at offset 00072c60
  fffffa80`0c756040 - fffffa80`0c7564e7 at offset 00078c60
  fffff880`03d03000 - fffff880`03d08fff at offset 00079108
  fffffa80`0c756b50 - fffffa80`0c756ff7 at offset 0007f108
  fffff880`03d0a000 - fffff880`03d0ffff at offset 0007f5b0
  fffffa80`0c756660 - fffffa80`0c756b07 at offset 000855b0
  fffff880`03d11000 - fffff880`03d16fff at offset 00085a58
  fffffa80`0c74a660 - fffffa80`0c74ab07 at offset 0008ba58
  fffff880`009f5000 - fffff880`009fafff at offset 0008bf00
  fffffa80`0c74ab50 - fffffa80`0c74aff7 at offset 00091f00
  fffff880`009ee000 - fffff880`009f3fff at offset 000923a8
  fffffa80`0c8d6b50 - fffffa80`0c8d6ff7 at offset 000983a8
  fffff880`09184000 - fffff880`09189fff at offset 00098850
  fffffa80`25434060 - fffffa80`25434507 at offset 0009e850
  fffff880`09295000 - fffff880`0929afff at offset 0009ecf8
  fffffa80`1004bb50 - fffffa80`1004bff7 at offset 000a4cf8
  fffff880`059f9000 - fffff880`059fefff at offset 000a51a0
  fffffa80`11a2bad0 - fffffa80`11a2bf77 at offset 000ab1a0
  fffff880`092db000 - fffff880`092e0fff at offset 000ab648
  fffffa80`10015b50 - fffffa80`10015ff7 at offset 000b1648
  fffff880`092b1000 - fffff880`092b6fff at offset 000b1af0
  fffffa80`10c189f0 - fffffa80`10c18e97 at offset 000b7af0
  fffff880`091bf000 - fffff880`091c4fff at offset 000b7f98
  fffff8a0`03d6d5a2 - fffff8a0`03d6d5a1 at offset 000bdf98
  fffff8a0`02d26c32 - fffff8a0`02d26c31 at offset 000bdf98
  fffff8a0`00217462 - fffff8a0`00217461 at offset 000bdf98
  fffff800`00b9a3c0 - fffff800`00b9a3bf at offset 000bdf98
  fffffa80`16503530 - fffffa80`16503767 at offset 000bdf98
  fffffa80`0fe5ed60 - fffffa80`0fe5ef4f at offset 000be1d0
  fffff800`03891ce0 - fffff800`03891d7b at offset 000be3c0
  fffff800`03879b48 - fffff800`03879b4b at offset 000be45c
  fffff800`03879b44 - fffff800`03879b47 at offset 000be460
  fffff800`03802ba0 - fffff800`03802c9f at offset 000be464
  fffffa80`0c794000 - fffffa80`0c794fff at offset 000be564
  fffff800`00b9a000 - fffff800`00b9afff at offset 000bf564
  fffffa80`0fe5e000 - fffffa80`0fe5efff at offset 000c0564
  fffff800`038c8600 - fffff800`038c8603 at offset 000c1564
  fffff800`038c8200 - fffff800`038c82ef at offset 000c1568
  fffff800`038fb07c - fffff800`038fb07f at offset 000c1658
  fffff800`038fb068 - fffff800`038fb06b at offset 000c165c
  fffffa80`0c705160 - fffffa80`0c705347 at offset 000c1660
  fffffa80`11e75d00 - fffffa80`11e75d47 at offset 000c1848
  fffffa80`1872cf10 - fffffa80`1872ef0f at offset 000c1890
  fffff800`03865280 - fffff800`03865287 at offset 000c3890
  fffff800`03865288 - fffff800`0386528f at offset 000c3898
  fffffa80`11e75000 - fffffa80`11e75fff at offset 000c38a0
  fffff800`03869000 - fffff800`03869fff at offset 000c48a0
  fffff800`036c3000 - fffff800`036c3fff at offset 000c58a0
  Max offset c68a0, 2c3e0 from end of file


Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506
Machine Name:
Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890
Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00)
System Uptime: 0 days 12:48:36.680
start             end                 module name
fffff800`00bcf000 fffff800`00bd9000   kdcom     Sun Feb 06 01:52:49 2011 (4D4D8061)
fffff800`03605000 fffff800`0364e000   hal       Sat Nov 20 22:00:25 2010 (4CE7C669)
fffff800`0364e000 fffff800`03c33000   nt        Mon Jul 07 09:57:23 2014 (53B9F073)
fffff880`00c00000 fffff880`00c5c000   volmgrx   Sat Nov 20 18:20:43 2010 (4CE792EB)
fffff880`00c5c000 fffff880`00c79000   NEOFLTR_740_30611  Wed Apr 09 19:18:58 2014 (53451E92)
fffff880`00c91000 fffff880`00ce0000   mcupdate_GenuineIntel  Sat Nov 20 22:03:51 2010 (4CE7C737)
fffff880`00ce0000 fffff880`00cf4000   PSHED     Tue Jul 14 10:32:23 2009 (4A5BE027)
fffff880`00cf4000 fffff880`00d52000   CLFS      Tue Jul 14 08:19:57 2009 (4A5BC11D)
fffff880`00d52000 fffff880`00dc7000   CI        Fri Jun 27 11:04:21 2014 (53ACD125)
fffff880`00e00000 fffff880`00e09000   compbatt  Tue Jul 14 08:31:02 2009 (4A5BC3B6)
fffff880`00e09000 fffff880`00e15000   BATTC     Tue Jul 14 08:31:01 2009 (4A5BC3B5)
fffff880`00e15000 fffff880`00e2a000   volmgr    Sat Nov 20 18:19:28 2010 (4CE792A0)
fffff880`00e2a000 fffff880`00e44000   mountmgr  Sat Nov 20 18:19:21 2010 (4CE79299)
fffff880`00e5d000 fffff880`00f1f000   Wdf01000  Sat Jun 22 12:13:05 2013 (51C51641)
fffff880`00f1f000 fffff880`00f2f000   WDFLDR    Thu Jul 26 11:29:04 2012 (5010AB70)
fffff880`00f2f000 fffff880`00f86000   ACPI      Sat Nov 20 18:19:16 2010 (4CE79294)
fffff880`00f86000 fffff880`00f8f000   WMILIB    Tue Jul 14 08:19:51 2009 (4A5BC117)
fffff880`00f8f000 fffff880`00f99000   msisadrv  Tue Jul 14 08:19:26 2009 (4A5BC0FE)
fffff880`00f99000 fffff880`00fcc000   pci       Sat Nov 20 18:19:11 2010 (4CE7928F)
fffff880`00fcc000 fffff880`00fd9000   vdrvroot  Tue Jul 14 09:01:31 2009 (4A5BCADB)
fffff880`00fd9000 fffff880`00fe3000   iusb3hcs  Fri Feb 22 21:36:29 2013 (5127664D)
fffff880`00fe3000 fffff880`00ff8000   partmgr   Sat Mar 17 14:06:09 2012 (4F641BC1)
fffff880`01000000 fffff880`0104c000   fltmgr    Sat Nov 20 18:19:24 2010 (4CE7929C)
fffff880`0104c000 fffff880`01060000   fileinfo  Tue Jul 14 08:34:25 2009 (4A5BC481)
fffff880`01060000 fffff880`01090000   CLASSPNP  Sat Nov 20 18:19:23 2010 (4CE7929B)
fffff880`0109b000 fffff880`011b9000   iaStorV   Fri Jun 11 09:46:19 2010 (4C11875B)
fffff880`011b9000 fffff880`011c4000   amdxata   Sat Mar 20 01:18:18 2010 (4BA3A3CA)
fffff880`011c4000 fffff880`011e6000   tdx       Sat Nov 20 18:21:54 2010 (4CE79332)
fffff880`01211000 fffff880`013ba000   Ntfs      Fri Jan 24 10:14:50 2014 (52E1BE8A)
fffff880`013ba000 fffff880`013f4000   fvevol    Thu Jan 24 12:11:24 2013 (5100A65C)
fffff880`01400000 fffff880`0144c000   volsnap   Sat Nov 20 18:20:08 2010 (4CE792C8)
fffff880`0144c000 fffff880`01486000   rdyboost  Sat Nov 20 18:43:10 2010 (4CE7982E)
fffff880`01486000 fffff880`0148f000   hwpolicy  Sat Nov 20 18:18:54 2010 (4CE7927E)
fffff880`0149a000 fffff880`014f8000   msrpc     Sat Nov 20 18:21:56 2010 (4CE79334)
fffff880`014f8000 fffff880`01513000   ksecdd    Sat Apr 12 10:08:30 2014 (5348920E)
fffff880`01513000 fffff880`01585000   cng       Thu Aug 02 00:48:07 2012 (50194FB7)
fffff880`01585000 fffff880`01596000   pcw       Tue Jul 14 08:19:27 2009 (4A5BC0FF)
fffff880`01596000 fffff880`015a0000   Fs_Rec    Thu Mar 01 12:41:06 2012 (4F4EEFD2)
fffff880`015a0000 fffff880`015e9000   tmcomm    Tue Dec 03 17:56:28 2013 (529D9CBC)
fffff880`015e9000 fffff880`015ff000   disk      Tue Jul 14 08:19:57 2009 (4A5BC11D)
fffff880`01600000 fffff880`01660000   NETIO     Tue Nov 26 19:21:01 2013 (5294760D)
fffff880`01660000 fffff880`0168c000   ksecpkg   Tue Oct 14 10:08:32 2014 (543C7790)
fffff880`0168c000 fffff880`016d5000   fwpkclnt  Sat Apr 05 10:23:21 2014 (533F5B09)
fffff880`016d5000 fffff880`016e5000   vmstorfl  Sat Nov 20 18:57:30 2010 (4CE79B8A)
fffff880`016e5000 fffff880`016ee000   stdcfltn  Sat Jul 16 13:31:13 2011 (4E211411)
fffff880`016ee000 fffff880`016f6000   spldr     Tue May 12 01:56:27 2009 (4A0858BB)
fffff880`016fb000 fffff880`017ed000   ndis      Thu Aug 23 00:11:46 2012 (5034F6B2)
fffff880`017ed000 fffff880`017ff000   mup       Tue Jul 14 08:23:45 2009 (4A5BC201)
fffff880`01801000 fffff880`01a00000   tcpip     Sat Apr 05 10:26:44 2014 (533F5BD4)
fffff880`02600000 fffff880`0269d000   ATSwpWDF  Sat Dec 24 10:11:00 2011 (4EF526A4)
fffff880`026bc000 fffff880`026df000   luafv     Tue Jul 14 08:26:13 2009 (4A5BC295)
fffff880`026df000 fffff880`026ed000   hidusb    Sat Nov 20 19:43:49 2010 (4CE7A665)
fffff880`026ed000 fffff880`02706000   HIDCLASS  Wed Jul 03 13:05:05 2013 (51D3A2F1)
fffff880`02706000 fffff880`0270e080   HIDPARSE  Wed Jul 03 13:05:04 2013 (51D3A2F0)
fffff880`0270f000 fffff880`0271c000   mouhid    Tue Jul 14 09:00:20 2009 (4A5BCA94)
fffff880`0271c000 fffff880`0272a000   kbdhid    Sat Nov 20 19:33:25 2010 (4CE7A3F5)
fffff880`0272a000 fffff880`0273f000   lltdio    Tue Jul 14 09:08:50 2009 (4A5BCC92)
fffff880`0273f000 fffff880`02792000   nwifi     Tue Jul 14 09:07:23 2009 (4A5BCC3B)
fffff880`02792000 fffff880`027a5000   ndisuio   Sat Nov 20 19:50:08 2010 (4CE7A7E0)
fffff880`027a5000 fffff880`027bd000   rspndr    Tue Jul 14 09:08:50 2009 (4A5BCC92)
fffff880`03000000 fffff880`0304e000   mrxsmb10  Sat Jul 09 11:46:28 2011 (4E17C104)
fffff880`0304e000 fffff880`03072000   mrxsmb20  Wed Apr 27 11:39:37 2011 (4DB781E9)
fffff880`030c2000 fffff880`0318b000   HTTP      Sat Nov 20 18:24:30 2010 (4CE793CE)
fffff880`0318b000 fffff880`031a9000   bowser    Wed Feb 23 13:55:04 2011 (4D649328)
fffff880`031a9000 fffff880`031c1000   mpsdrv    Tue Jul 14 09:08:25 2009 (4A5BCC79)
fffff880`031c1000 fffff880`031ee000   mrxsmb    Wed Apr 27 11:40:38 2011 (4DB78226)
fffff880`0362a000 fffff880`036b3000   afd       Fri May 30 15:45:48 2014 (5388291C)
fffff880`036b3000 fffff880`036f8000   netbt     Sat Nov 20 18:23:18 2010 (4CE79386)
fffff880`036f8000 fffff880`03701000   wfplwf    Tue Jul 14 09:09:26 2009 (4A5BCCB6)
fffff880`03701000 fffff880`03727000   pacer     Sat Nov 20 19:52:18 2010 (4CE7A862)
fffff880`03727000 fffff880`0373d000   vwififlt  Tue Jul 14 09:07:22 2009 (4A5BCC3A)
fffff880`0373d000 fffff880`0374c000   netbios   Tue Jul 14 09:09:26 2009 (4A5BCCB6)
fffff880`0374c000 fffff880`03766000   tmevtmgr  Tue Dec 03 17:56:24 2013 (529D9CB8)
fffff880`03766000 fffff880`0378b000   tmactmon  Tue Dec 03 17:56:36 2013 (529D9CC4)
fffff880`0378b000 fffff880`037a6000   wanarp    Sat Nov 20 19:52:36 2010 (4CE7A874)
fffff880`037a6000 fffff880`037cc000   VBoxUSBMon  Sat Oct 11 20:26:22 2014 (543913DE)
fffff880`04800000 fffff880`0480d000   TDI       Sat Nov 20 18:22:06 2010 (4CE7933E)
fffff880`0480d000 fffff880`0492b000   dump_iaStorV  Fri Jun 11 09:46:19 2010 (4C11875B)
fffff880`04949000 fffff880`04973000   cdrom     Sat Nov 20 18:19:20 2010 (4CE79298)
fffff880`04973000 fffff880`0497c000   Null      Tue Jul 14 08:19:37 2009 (4A5BC109)
fffff880`0497c000 fffff880`04983000   Beep      Tue Jul 14 09:00:13 2009 (4A5BCA8D)
fffff880`04983000 fffff880`04991000   vga       Tue Jul 14 08:38:47 2009 (4A5BC587)
fffff880`04991000 fffff880`049b6000   VIDEOPRT  Tue Jul 14 08:38:51 2009 (4A5BC58B)
fffff880`049b6000 fffff880`049c6000   watchdog  Tue Jul 14 08:37:35 2009 (4A5BC53F)
fffff880`049c6000 fffff880`049cf000   RDPCDD    Tue Jul 14 09:16:34 2009 (4A5BCE62)
fffff880`049cf000 fffff880`049d8000   rdpencdd  Tue Jul 14 09:16:34 2009 (4A5BCE62)
fffff880`049d8000 fffff880`049e1000   rdprefmp  Tue Jul 14 09:16:35 2009 (4A5BCE63)
fffff880`049e1000 fffff880`049ec000   Msfs      Tue Jul 14 08:19:47 2009 (4A5BC113)
fffff880`049ec000 fffff880`049fd000   Npfs      Tue Jul 14 08:19:48 2009 (4A5BC114)
fffff880`04a3c000 fffff880`04b21000   VBoxDrv   Sat Oct 11 20:28:48 2014 (54391470)
fffff880`04b21000 fffff880`04b3d000   tmtdi     Tue Aug 23 00:21:54 2011 (4E527412)
fffff880`04b3d000 fffff880`04b51000   termdd    Sat Nov 20 20:03:40 2010 (4CE7AB0C)
fffff880`04b51000 fffff880`04ba2000   rdbss     Sat Nov 20 18:27:51 2010 (4CE79497)
fffff880`04ba2000 fffff880`04bae000   nsiproxy  Tue Jul 14 08:21:02 2009 (4A5BC15E)
fffff880`04bae000 fffff880`04bb9000   mssmbios  Tue Jul 14 08:31:10 2009 (4A5BC3BE)
fffff880`04bb9000 fffff880`04bc5000   ElbyCDIO  Mon Mar 04 18:21:51 2013 (513467AF)
fffff880`04bc5000 fffff880`04bd4000   discache  Tue Jul 14 08:37:18 2009 (4A5BC52E)
fffff880`04c00000 fffff880`04cf5000   dxgkrnl   Mon Jun 16 09:58:04 2014 (539E411C)
fffff880`04cfc000 fffff880`04d7f000   csc       Sat Nov 20 18:27:12 2010 (4CE79470)
fffff880`04d7f000 fffff880`04d9d000   dfsc      Sat Nov 20 18:26:31 2010 (4CE79447)
fffff880`04d9d000 fffff880`04dae000   blbdrive  Tue Jul 14 08:35:59 2009 (4A5BC4DF)
fffff880`04dae000 fffff880`04dd4000   tunnel    Sat Nov 20 19:51:50 2010 (4CE7A846)
fffff880`04dd4000 fffff880`04dfc000   VBoxNetAdp  Sat Oct 11 20:26:22 2014 (543913DE)
fffff880`04e00000 fffff880`04e43000   ks        Sat Nov 20 19:33:23 2010 (4CE7A3F3)
fffff880`04e43000 fffff880`04e67000   rasl2tp   Sat Nov 20 19:52:34 2010 (4CE7A872)
fffff880`04e67000 fffff880`04e72000   rdpbus    Tue Jul 14 09:17:46 2009 (4A5BCEAA)
fffff880`04e7a000 fffff880`04f3f000   iusb3xhc  Fri Feb 22 21:33:45 2013 (512765A9)
fffff880`04f3f000 fffff880`04f40e80   USBD      Wed Nov 27 10:41:03 2013 (52954DAF)
fffff880`04f41000 fffff880`04f54000   HECIx64   Tue Dec 18 04:32:21 2012 (50CF7345)
fffff880`04f54000 fffff880`04f66000   usbehci   Wed Nov 27 10:41:11 2013 (52954DB7)
fffff880`04f66000 fffff880`04fbc000   USBPORT   Wed Nov 27 10:41:11 2013 (52954DB7)
fffff880`04fbc000 fffff880`04fe0000   HDAudBus  Sat Nov 20 19:43:42 2010 (4CE7A65E)
fffff880`04fe0000 fffff880`04ffb000   raspppoe  Tue Jul 14 09:10:17 2009 (4A5BCCE9)
fffff880`05200000 fffff880`0522f000   ndiswan   Sat Nov 20 19:52:32 2010 (4CE7A870)
fffff880`0522f000 fffff880`05250000   raspptp   Sat Nov 20 19:52:31 2010 (4CE7A86F)
fffff880`05250000 fffff880`0526a000   rassstp   Tue Jul 14 09:10:25 2009 (4A5BCCF1)
fffff880`0526a000 fffff880`05278000   VClone    Thu Jul 25 00:02:55 2013 (51EFEC9F)
fffff880`05278000 fffff880`057941c0   igdkmd64  Sat Feb 23 06:49:20 2013 (5127E7E0)
fffff880`05795000 fffff880`057db000   dxgmms1   Wed Apr 10 12:27:15 2013 (5164DC13)
fffff880`05c00000 fffff880`05c35000   exfat     Tue Jul 14 08:23:29 2009 (4A5BC1F1)
fffff880`05c71000 fffff880`05c8a000   WudfPf    Thu Jul 26 11:26:45 2012 (5010AAE5)
fffff880`05c90000 fffff880`05d3a000   peauth    Mon Jul 07 10:52:40 2014 (53B9FD68)
fffff880`05d3a000 fffff880`05d45000   secdrv    Wed Sep 13 22:18:38 2006 (4508052E)
fffff880`05d45000 fffff880`05d76000   srvnet    Fri Apr 29 12:05:35 2011 (4DBA2AFF)
fffff880`05d76000 fffff880`05d88000   tcpipreg  Thu Oct 04 01:07:26 2012 (506C62BE)
fffff880`05d88000 fffff880`05df1000   srv2      Fri Apr 29 12:05:46 2011 (4DBA2B0A)
fffff880`06000000 fffff880`0606c000   b57nd60a  Wed Aug 24 12:41:33 2011 (4E5472ED)
fffff880`0606c000 fffff880`0608a000   i8042prt  Tue Jul 14 08:19:57 2009 (4A5BC11D)
fffff880`0608a000 fffff880`06099000   kbdclass  Tue Jul 14 08:19:50 2009 (4A5BC116)
fffff880`06099000 fffff880`060a8000   mouclass  Tue Jul 14 08:19:50 2009 (4A5BC116)
fffff880`060a8000 fffff880`060c5000   parport   Tue Jul 14 09:00:40 2009 (4A5BCAA8)
fffff880`060c5000 fffff880`060df000   ST_Accel  Thu Mar 28 07:59:32 2013 (515379D4)
fffff880`060e0000 fffff880`0656a000   bcmwl664  Thu Oct 27 11:45:09 2011 (4EA8C5B5)
fffff880`0656a000 fffff880`06577000   vwifibus  Tue Jul 14 09:07:21 2009 (4A5BCC39)
fffff880`06577000 fffff880`06597000   sdbus     Sat Nov 20 18:37:42 2010 (4CE796E6)
fffff880`06597000 fffff880`065ad000   intelppm  Tue Jul 14 08:19:25 2009 (4A5BC0FD)
fffff880`065ad000 fffff880`065b6000   wmiacpi   Tue Jul 14 08:31:02 2009 (4A5BC3B6)
fffff880`065b6000 fffff880`065ba500   CmBatt    Tue Jul 14 08:31:03 2009 (4A5BC3B7)
fffff880`065bb000 fffff880`065c3000   serscan   Tue Jul 14 09:35:32 2009 (4A5BD2D4)
fffff880`065c3000 fffff880`065c8200   ksthunk   Tue Jul 14 09:00:19 2009 (4A5BCA93)
fffff880`065c9000 fffff880`065d9000   CompositeBus  Sat Nov 20 19:33:17 2010 (4CE7A3ED)
fffff880`065d9000 fffff880`065ef000   AgileVpn  Tue Jul 14 09:10:24 2009 (4A5BCCF0)
fffff880`065ef000 fffff880`065fb000   ndistapi  Tue Jul 14 09:10:00 2009 (4A5BCCD8)
fffff880`06631000 fffff880`066bd000   stwrt64   Fri Aug 16 19:26:26 2013 (520DFE52)
fffff880`066bd000 fffff880`066fa000   portcls   Fri Oct 04 10:36:02 2013 (524E1B82)
fffff880`066fa000 fffff880`0671c000   drmk      Fri Oct 04 11:16:30 2013 (524E24FE)
fffff880`0671c000 fffff880`06774000   IntcDAud  Tue Jun 19 23:40:51 2012 (4FE08F73)
fffff880`06774000 fffff880`06780000   Dxapi     Tue Jul 14 08:38:28 2009 (4A5BC574)
fffff880`06780000 fffff880`0678e000   crashdmp  Tue Jul 14 09:01:01 2009 (4A5BCABD)
fffff880`0678e000 fffff880`067a1000   dump_dumpfve  Tue Jul 14 08:21:51 2009 (4A5BC18F)
fffff880`067a1000 fffff880`067af000   monitor   Tue Jul 14 08:38:52 2009 (4A5BC58C)
fffff880`0683a000 fffff880`06870000   fastfat   Tue Jul 14 08:23:28 2009 (4A5BC1F0)
fffff880`06870000 fffff880`068c6000   tmnciesc  Wed May 15 19:23:21 2013 (51936219)
fffff880`068c6000 fffff880`068e3000   tmeevw    Thu Jun 13 15:25:31 2013 (51B965DB)
fffff880`068e3000 fffff880`068ee000   asyncmac  Tue Jul 14 09:10:13 2009 (4A5BCCE5)
fffff880`068f3000 fffff880`0698b000   srv       Fri Apr 29 12:06:06 2011 (4DBA2B1E)
fffff880`0698b000 fffff880`06994000   BCM42RLY  Mon Jun 11 18:18:06 2012 (4FD5B7CE)
fffff880`06994000 fffff880`069c2000   rdpdr     Sat Nov 20 20:06:41 2010 (4CE7ABC1)
fffff880`069dc000 fffff880`069f9000   cdfs      Tue Jul 14 08:19:46 2009 (4A5BC112)
fffff880`07200000 fffff880`0725d000   iusb3hub  Fri Feb 22 21:33:42 2013 (512765A6)
fffff880`072ad000 fffff880`07311000   storport  Tue Feb 04 10:36:50 2014 (52F04432)
fffff880`07311000 fffff880`0733c000   VBoxNetFlt  Sat Oct 11 20:26:22 2014 (543913DE)
fffff880`0733c000 fffff880`0733d480   swenum    Tue Jul 14 09:00:18 2009 (4A5BCA92)
fffff880`0733e000 fffff880`07350000   umbus     Sat Nov 20 19:44:37 2010 (4CE7A695)
fffff880`07350000 fffff880`073aa000   usbhub    Wed Nov 27 10:41:36 2013 (52954DD0)
fffff880`073aa000 fffff880`073bf000   NDProxy   Sat Nov 20 19:52:20 2010 (4CE7A864)
fffff960`00020000 fffff960`00342000   win32k    unavailable (00000000)
fffff960`00500000 fffff960`0050a000   TSDDD     unavailable (00000000)
fffff960`00780000 fffff960`007a7000   cdd       unavailable (00000000)

Unloaded modules:
fffff880`069c2000 fffff880`069cd000   tdtcp.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000B000
fffff880`06800000 fffff880`0683a000   RDPWD.SYS
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0003A000
fffff880`069cd000 fffff880`069dc000   tssecsrv.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000F000
fffff880`05c36000 fffff880`05c51000   USBSTOR.SYS
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0001B000
fffff880`05c00000 fffff880`05c36000   WUDFRd.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  00036000
fffff880`05c51000 fffff880`05c6c000   USBSTOR.SYS
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0001B000
fffff880`05c1b000 fffff880`05c51000   WUDFRd.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  00036000
fffff880`05c00000 fffff880`05c1b000   USBSTOR.SYS
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0001B000
fffff880`02600000 fffff880`0269d000   ATSwpWDF.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0009D000
fffff880`0261f000 fffff880`026bc000   ATSwpWDF.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0009D000
fffff880`069dc000 fffff880`069e8000   pcdsrvc_x64.
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000C000
fffff880`09c13000 fffff880`0a1e7000   iqvw64e.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  005D4000
fffff880`05c00000 fffff880`05c71000   spsys.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  00071000
fffff880`01200000 fffff880`0120e000   crashdmp.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000E000
fffff880`04818000 fffff880`04936000   dump_iaStorV
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0011E000
fffff880`04936000 fffff880`04949000   dump_dumpfve
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  00013000
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60}

Probably caused by : ntkrnlmp

Followup: MachineOwner
---------

Finished dump check

C:\>

VBoxNetAdp.sysのロードには失敗しているが、それ以外は問題なく動いているようだ。

しかしながら、残念なことにntkrnlmp.exeのプロセスで問題が起きていることまでしか分からない。というかntkrnlmp.exeってカーネルでしょうに。

「詳細を見たければ !analyze -v を使え」と表示されているが、dumpchk.exeは対話型のツールではないので、いつ、どのように実行すればよいのか不明だ。うーん不親切だなあ。

windbg.exeによる解析

「!analyze -v」は、kd.exeやwindbg.exe(どちらもWindowsカーネル・デバッガ)のコマンドだ。ということは、dumpchk.exeではなくkd.exe/windbg.exeで解析すればよさそうだ。

今回もネットの情報を参考に、こんな感じで実行。

C:\>C:\WinDDK\7600.16385.1\Debuggers\windbg.exe -y "symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols" -z C:\Windows\Minidump\112614-36395-01.dmp

GUIのようなCUIのようなデバッグウィンドウが表示された。

Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\Minidump\112614-36395-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`03d6d5a2?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`02d26c32?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`00217462?
DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff800`00b9a3c0?
Symbol search path is: symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506
Machine Name:
Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890
Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00)
System Uptime: 0 days 12:48:36.680
Loading Kernel Symbols
...............................................................
................................................................
.........................................
Loading User Symbols
Loading unloaded module list
................
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60}

Unable to load image \SystemRoot\system32\DRIVERS\VBoxNetAdp.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for VBoxNetAdp.sys
*** ERROR: Module load completed but symbols could not be loaded for VBoxNetAdp.sys
Probably caused by : ntkrnlmp

Followup: MachineOwner
---------

dumpchk.exeの時と同様に、VBoxNetAdp.sysのロードには失敗しているが、それ以外は問題なく動いているようだ。

「!analyze -v」を実行してみた。

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_POWER_STATE_FAILURE (9f)
A driver is causing an inconsistent power state.
Arguments:
Arg1: 0000000000000003, A device object has been blocking an Irp for too long a time
Arg2: fffffa800c794700, Physical Device Object of the stack
Arg3: fffff80000b9a3d8, Functional Device Object of the stack
Arg4: fffffa800fe5ed60, The blocked IRP

Debugging Details:
------------------


DRVPOWERSTATE_SUBCODE:  3

IMAGE_NAME:  ntkrnlmp

DEBUG_FLR_IMAGE_TIMESTAMP:  0

MODULE_NAME: ntkrnlmp

FAULTING_MODULE: fffff88004dd4000 VBoxNetAdp

IRP_ADDRESS:  fffffa800fe5ed60

DEVICE_OBJECT: fffffa800eaee050

DRIVER_OBJECT: fffffa800eadd670

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

BUGCHECK_STR:  0x9F

PROCESS_NAME:  System

CURRENT_IRQL:  2

STACK_TEXT:  
fffff800`00b9a388 fffff800`037338d2 : 00000000`0000009f 00000000`00000003 fffffa80`0c794700 fffff800`00b9a3d8 : nt!KeBugCheckEx
fffff800`00b9a390 fffff800`036ce85c : fffff800`00b9a4c0 fffff800`00b9a4c0 00000000`00000000 00000000`00000001 : nt! ?? ::FNODOBFM::`string'+0x33af0
fffff800`00b9a430 fffff800`036ce6f6 : fffffa80`14f32ae0 fffffa80`14f32ae0 00000000`00000000 00000000`00000000 : nt!KiProcessTimerDpcTable+0x6c
fffff800`00b9a4a0 fffff800`036ce5de : 0000006b`5faf0b8c fffff800`00b9ab18 00000000`002d1b92 fffff800`038424c8 : nt!KiProcessExpiredTimerList+0xc6
fffff800`00b9aaf0 fffff800`036ce3c7 : 0000001c`3857a3c2 0000001c`002d1b92 0000001c`3857a3ee 00000000`00000092 : nt!KiTimerExpiration+0x1be
fffff800`00b9ab90 fffff800`036bb8ca : fffff800`0383ee80 fffff800`0384ccc0 00000000`00000002 fffff880`00000000 : nt!KiRetireDpcList+0x277
fffff800`00b9ac40 00000000`00000000 : fffff800`00b9b000 fffff800`00b95000 fffff800`00b9ac00 00000000`00000000 : nt!KiIdleLoop+0x5a


STACK_COMMAND:  kb

FOLLOWUP_NAME:  MachineOwner

FAILURE_BUCKET_ID:  X64_0x9F_3_IMAGE_ntkrnlmp

BUCKET_ID:  X64_0x9F_3_IMAGE_ntkrnlmp

Followup: MachineOwner
---------

FAULTING_MODULEとしてVBoxNetAdpが挙げられている。カーネル(ntkrnlmp.exe)の中で、VBoxNetAdpで問題が起きているようだ。VBoxNetAdpは、(名前からVirtualBox関連の何かだと想像がつくが)WER-40207557-0.sysdata.xmlによれば「VirtualBox Host-Only Ethernet Adapter」のことだ。

最後に、こんなページを見つけたので、見よう見まねでもう一コマンド。「!analyze -v」の内容によれば、BCP4の「fffffa800fe5ed60」は「The blocked IRP」を意味するようなので、その詳細を見てみた。

0: kd> !irp fffffa80`0fe5ed60 1
Irp is active with 3 stacks 2 is current (= 0xfffffa800fe5ee78)
 No Mdl: No System Buffer: Thread 00000000:  Irp stack trace.  
Flags = 00000000
ThreadListEntry.Flink = fffffa800fe5ed80
ThreadListEntry.Blink = fffffa800fe5ed80
IoStatus.Status = c00000bb
IoStatus.Information = 00000000
RequestorMode = 00000000
Cancel = 00
CancelIrql = 0
ApcEnvironment = 00
UserIosb = 00000000
UserEvent = 00000000
Overlay.AsynchronousParameters.UserApcRoutine = 00000000
Overlay.AsynchronousParameters.UserApcContext = 00000000
Overlay.AllocationSize = 00000000 - 00000000
CancelRoutine = 00000000   
UserBuffer = 00000000
&Tail.Overlay.DeviceQueueEntry = fffffa800fe5edd8
Tail.Overlay.Thread = 00000000
Tail.Overlay.AuxiliaryBuffer = 00000000
Tail.Overlay.ListEntry.Flink = fffffa801034f318
Tail.Overlay.ListEntry.Blink = fffff80003873d20
Tail.Overlay.CurrentStackLocation = fffffa800fe5ee78
Tail.Overlay.OriginalFileObject = 00000000
Tail.Apc = 00000000
Tail.CompletionKey = 00000000
     cmd  flg cl Device   File     Completion-Context
 [  0, 0]   0  0 00000000 00000000 00000000-00000000    

			Args: 00000000 00000000 00000000 00000000
>[ 16, 3]   0 e1 fffffa800eaee050 00000000 fffff80003910210-fffffa8011e75ce0 Success Error Cancel pending
	       \Driver\VBoxNetAdp	nt!PopSystemIrpCompletion
			Args: 00016600 00000000 00000006 00000006
 [  0, 0]   0  0 00000000 00000000 00000000-fffffa8011e75ce0    

			Args: 00000000 00000000 00000000 00000000

参照したページによれば、IoStatus.Statusの値c00000bbは「要求されたI/O処理がサポートされていない(らしい)」ということを示しているらしい。

この値に関しては、WDK付属のntstatus.hに説明があった。

//
// The success status codes 0 - 63 are reserved for wait completion status.
// FacilityCodes 0x5 - 0xF have been allocated by various drivers.
//
#define STATUS_SUCCESS                          ((NTSTATUS)0x00000000L) // ntsubauth

//
//  Values are 32 bit values laid out as follows:
//
//   3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1
//   1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0
//  +---+-+-+-----------------------+-------------------------------+
//  |Sev|C|R|     Facility          |               Code            |
//  +---+-+-+-----------------------+-------------------------------+
//
//  where
//
//      Sev - is the severity code
//
//          00 - Success
//          01 - Informational
//          10 - Warning
//          11 - Error
//
//      C - is the Customer code flag
//
//      R - is a reserved bit
//
//      Facility - is the facility code
//
//      Code - is the facility's status code
//

0xc00000bbを二進数表記にすると「0b11000000_00000000_00000000_10111011」となる。MSB側2bitのSevが0b11なので、エラーを意味する。C、R、Facilityは全て0だ。

LSB側16bitのCodeは0x00bbだ。これについては、そのものズバリの定義があった。

//
// Network specific errors.
//
//
//
// MessageId: STATUS_NOT_SUPPORTED
//
// MessageText:
//
// The request is not supported.
//
#define STATUS_NOT_SUPPORTED             ((NTSTATUS)0xC00000BBL)

なるほど、「要求されたI/O処理がサポートされていない(らしい)」という説明は正しいようだ。

VBoxNetAdpについて

VirtualBox Host-Only Ethernet Adapter」はVirtualBoxと一緒にインストールされる、仮想ネットワークアダプタ用のデバイスドライバだ。

「VBoxNetAdp FAULTING_MODULE」で検索したら、VirtualBoxのチケットに挙がっていた。

少なくともVirtualBox 4.2.12の頃から発生しているようだ。おそらく使用環境(ハードウェアや他のネットワーク関連ドライバ)とタイミング(必ず発生する訳ではない)に依存する厄介なバグではないかと思われる。うへぇ。

まとめ

手元のPCで発生する「BCCode 9f」の原因は、どうやらVirtualBox用のデバイスドライバの一部が原因であるようだ。

この問題は他のデバイスドライバでも発生しうる。どのデバイスに原因があるのか知りたいのなら、Windowsカーネルデバッガ(kd.exeやwindbg.exe)を使ってメモリダンプを解析するしかないようだ。

*1:Windows の STOP 0x9F エラー メッセージのトラブルシューティングを参照。

*2:BCCodeはBug Check Codeの、BCP1はBug Check Parameter1の略らしいが、初見でそれが分かったらエスパーだと思う。

*3:112614は2014-11-26を意味している気がする。